Datenschutzerklärung

1. Verantwortlicher

Cansin Günay & Rene Buckbesch GbR (Open Area Dance School)
Hamburg-Altona, Deutschland
E-Mail: info@openarea-dance.com
Datenschutz-Kontakt: datenschutz@openarea-dance.com

2. Zweck der Verarbeitung

Dieses Portal dient der Durchführung und Organisation der Tanzausbildung an der Open Area Dance School sowie dem Self-Service der Schüler:innen. Wir verarbeiten personenbezogene Daten, um Ausbildungsverträge zu erfüllen, den Ausbildungsverlauf zu dokumentieren, mit den Teilnehmenden zu kommunizieren und den sicheren Betrieb des Portals zu gewährleisten.

3. Erfasste Daten

• Stammdaten: Vorname, Nachname, E-Mail, Telefon, Geburtsdatum, Adresse, Instagram, Status, Semester, Audition- und Vertragsdaten
• Dokumente: hochgeladene Unterlagen (z. B. Atteste, Verträge), gespeichert im Objektspeicher
• Ausbildungsverlauf: Anwesenheit, Abwesenheiten und Entschuldigungen, Noten und Prüfungsergebnisse, Lernziele, Entwicklungsbögen, Skills, Gespräche
• Einwilligungen: Foto, Video, Social Media, Datenverarbeitung und Newsletter, jeweils mit Zeitstempel und anonymisiertem IP-Hash
• Kommunikation: Nachrichten im Postfach
• Konto und Sitzung: Name, E-Mail, gehashtes Passwort (PBKDF2), Session-Cookie oaicp_session (HttpOnly, Secure, SameSite=Strict), Audit- und Login-Versuche

Daten Minderjähriger

Sofern Teilnehmende minderjährig sind, verarbeiten wir zusätzlich Eltern- bzw. Notfallkontaktdaten zur Erreichbarkeit der Sorgeberechtigten und für den Notfall. Einwilligungen Minderjähriger werden durch die Sorgeberechtigten erteilt.

Gesundheitsdaten (Art. 9 DSGVO)

Wir verarbeiten Angaben zu Verletzungen und körperlichen Einschränkungen. Diese besonderen Kategorien personenbezogener Daten verarbeiten wir ausschließlich, um die Sicherheit im Training sicherzustellen und Belastungen anzupassen. Rechtsgrundlage ist die ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) bzw. Art. 9 Abs. 2 lit. h DSGVO. Der Zugriff ist auf das für die Trainingssicherheit erforderliche Personal beschränkt.

4. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO – Erfüllung des Ausbildungsvertrags und vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – gesetzliche Aufbewahrungspflichten (z. B. handels- und steuerrechtlich)
• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an IT-Sicherheit und Missbrauchsprävention
• Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO – Einwilligung für Foto, Video, Social Media und Gesundheitsdaten
• Art. 8 DSGVO – bei Minderjährigen erfolgt die Einwilligung durch die Sorgeberechtigten

5. Empfänger / Auftragsverarbeiter

• Cloudflare, Inc. – Hosting, D1-Datenbank, R2-Storage und Edge-Worker (EU-Region bevorzugt)
• Resend – transaktionaler E-Mail-Versand

Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO.

6. Speicherdauer

• Stamm- und Ausbildungsdaten: bis Vertragsende zuzüglich gesetzlicher Aufbewahrungsfristen
• Sitzungen: bis zum Ablauf der Session, dann Löschung
• Login-Versuche: 30 Tage

7. Cookies

Wir verwenden ausschließlich technisch notwendige Mittel: das Session-Cookie oaicp_session (HttpOnly, Secure, SameSite=Strict) sowie die Speicherung der Theme-Einstellung im lokalen Speicher des Browsers (localStorage). Es werden keine Tracking-, Werbe- oder Analyse-Cookies eingesetzt. Eine Einwilligung nach § 25 Abs. 2 TTDSG ist daher nicht erforderlich.

8. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO – ein strukturierter Self-Service-Export der eigenen Daten ist im eingeloggten Bereich verfügbar), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft über den Bereich „Datenschutz“ im eingeloggten Bereich widerrufen. Anfragen richten Sie bitte an datenschutz@openarea-dance.com.

Ihnen steht zudem ein Beschwerderecht bei der Aufsichtsbehörde zu: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

9. Sicherheit / Technische und organisatorische Maßnahmen

Wir schützen Ihre Daten durch TLS-verschlüsselte Übertragung, Passwort-Hashing mit PBKDF2, CSRF-Schutz, eine rollenbasierte Zugriffs-Allowlist sowie die ausschließlich anonymisierte Speicherung von IP-Adressen.